安全(Security)是指系统、资料、人员、物品等事物受到保护免于遭到非法侵害、损失或损坏的状态。在资讯技术领域中,安全更指保护电脑、网路、软体、资料或其它数位资源不被非法存取、窃取或破坏的措施。
以下是几个举例:
网路安全(Network Security):保护网路不被黑客入侵、恶意软体等恶性攻击侵害,可透过防火墙、入侵侦测、安全监控等措施实现。
密码安全(Password Security):有效的密码策略可保护用户帐号不被非法存取,如强制设置必要的密码复杂度和更换密码频率等规定。
数据安全(Data Security):保护机密资料和敏感资料不被偷窃、渗漏或破坏。数据加密是一项措施,可以藉由安全存储或加密来保障资料不受到非法存取。
身份验证(Identity Authentication):透过一些方式识别和验证用户身份(例如使用者名称和密码或双因素验证等)以保护资源的完整性和安全性。
应用程式安全:紧急应变计划和安全软件开发是可用来确保应用程序启动后不走样或者遭到破坏,如防止SQL注入等攻击方式。
以下是几个Security的重点:
保密性 - 确保资料不会被未经授权的人存取。
完整性 - 确保资料不会被意外或意图破坏,并且保证资料的完整性。
可用性 - 确保资料能够被正确的人在需要时访问。
身份验证 - 存在一种方法可以确定使用者是谁,以及他们拥有的权限是什么。
授权 - 确保只有获得授权的使用者才能存取资料。
监控 - 监控系统中的活动,以发现潜在的问题。
防范 - 确保系统足够的安全措施,防止潜在的威胁。
更新 - 定期更新系统和应用软件,以确保他们可以抵御最新的安全漏洞。
执行灰色区域控制 - 区分哪些资讯相对公开,哪些属于机密信息,以控制资讯的分发和存储方式。
建立风险管理计划 - 评估风险,建立相应的计划来应对风险,以减少损害发生的可能性。
何谓DoS攻击?请列举出至少3种DoS攻击的方式。
请解释TLS协议的作用,以及TLS协议如何确保通信的安全性。
什么是SQL注入攻击?请提供一个简单的例子并说明如何防范SQL注入攻击。
请解释XSS攻击,并提供一个简单的例子。如何防范XSS攻击?
何谓漏洞扫描?漏洞扫描的目的是什么?请说明漏洞扫描的流程。
答案:
DoS攻击是一种通过发送大量的请求或数据包从而占用目标机器的资源来导致目标机器无法正常运作的攻击手段。例如:SYN Flood攻击、UDP Flood攻击、HTTP Flood攻击等。
TLS协议是一种安全协议,其作用是保护网路通信的安全性,确保通信的机密性、完整性、可信度以及不可抵赖性。TLS协议通过加密和验证技术,将敏感数据保护起来。
SQL注入攻击是一种利用Web应用程序对用户输入的资料进行不当处理,从而对数据库进行非授权访问和操作的攻击手段。例如在一个搜索功能中,攻击者通过在搜索栏中输入恶意字符语句,从而使应用程序对恶意输入进行操作,例如删除数据库中的资料。为了防范SQL注入攻击,应用程序需要对用户输入的资料进行有效的验证和过滤,挡住所有的恶意输入。
XSS攻击是一种利用Web应用程序中的漏洞向用户注入恶意脚本的攻击手段。例如,攻击者通过在一个帖子中插入恶意脚本,当其他用户访问该帖子时,该脚本会在浏览器中执行,盗取用户的cookie、密码等敏感资料。为了防范XSS攻击,应用程序需要对用户输入的内容进行有效的过滤和转义处理。
漏洞扫描是一种对系统、应用、服务等进行安全测试的手段,其目的是寻找系统中存在的漏洞并提供修补建议。漏洞扫描的流程一般包括:信息收集、漏洞扫描、漏洞评估和报告生成。漏洞扫描工具通过对目标系统进行主动或被动扫描,将发现的漏洞进行评估,最终生成详细的漏洞报告,提供相应的修复建议。